Hvað eru persónuupplýsingar?

Ný reglugerð Evrópusambandsins um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga (hér eftir GDPR) fjallar, eins og nafnið gefur til kynna, um meðferð fyrirtækja og stofnana á persónuupplýsingum. Það er engin tilviljun að ESB réðst í þetta verkefni enda flestum ljóst að nýrra og aukinna reglna var þörf í breyttum heimi þar sem tækninni fleygir fram á leifturhraða og persónuupplýsingar orðnar meðal verðmætustu eigna fjölmargra fyrirtækja í heiminum.

Reglugerðin er sú umfangsmesta sem borist hefur frá Evrópusambandinu í langan tíma og ljóst að mörgum fyrirtækjum bíður ærið verkefni. Fyrsta skrefið er að líta sér nær og freista þess að gera sér grein fyrir því hverskonar persónuupplýsingar fyrirtæki eru í raun að vinna með. Öll framtíðarvinna og undirbúningur mun síðan taka mið af því hver niðurstaðan af þeirri sjálfsskoðun verður.

„Hvers kyns upplýsingar...“

En hvaða upplýsingar flokkast sem persónuupplýsingar samkvæmt hinni nýju reglugerð?

Skilgreining reglugerðarinnar hljóðar svo:

„Persónuupplýsingar eru hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling (skráðan einstakling). Þ.e. einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.“

En hvað felst í þessum orðum?

Jú, reglugerðin fjallar einungis um vinnslu á „persónugreinanlegum upplýsingum“, þ.e. upplýsingar sem á einhvern hátt má tengja við einstaklinga. Hér er því ekki um að ræða upplýsingar um lögpersónur á borð við fyrirtæki og félög eða nafnlausar upplýsingar sem hafa verið aftengdar persónuauðkennum og því ekki lengur hægt að nota til að tengja við og persónugreina einstaklinginn.

Eins og orðalag greinarinnar gefur til kynna þá er hún mjög víðtæk („hvers kyns upplýsingar“) og í raun ógerningur að gera grein fyrir öllum þeim upplýsingum sem undir hana falla. Hún nær í dag þannig til að mynda til IP talna sem og svokallaðra „gerviauðkenna“ þar sem þar hægt er að bera kennsl á viðkomandi einstakling með því að nota viðbótarupplýsingar.

Viðkvæmar persónuupplýsingar

Í reglugerðinni er sérstaklega lagt bann við vinnslu á því sem kalla má „viðkvæmar persónuupplýsingar“ og er þar átt við upplýsingar er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu, aðild að verkalýðsfélagi og vinnsla erfðafræðilegra upplýsinga, lífkennaupplýsinga í því skyni að persónugera einstakling með einkvæmum hætti, heilsufarsupplýsingar eða upplýsingar er varða kynlíf eða kynhneigð.

Hér staldra margir við og furða sig á því að í upptalningunni sé ekki gert ráð fyrir fjárhags- og lánaupplýsingum. Á Íslandi líta flest okkar væntanlega svo á að slíkar upplýsingar séu viðkvæmari en upplýsingar um það í hvaða stéttarfélag við greiðum. Þetta er engu að síður sá veruleiki sem blasir við okkur, upplýsingar um tekjur og skuldir teljast ekki viðkvæmar, þó þar sé vissulega um persónuupplýsingar að ræða, sem fara þarf með samkvæmt ákvæðum reglugerðarinnar.

Þrátt fyrir að orðalag reglugerðarinnar leggi bann við vinnslu fyrrgreindra persónuupplýsinga eru þó til staðar nokkrar undantekningar sem heimila vinnslu slíkra upplýsinga en þá þarf vinnslan að uppfylla sérstök skilyrði á borð við „afdráttarlaust samþykki hins skráða“ eða að vinnslan sé „nauðsynleg til að vernda brýna hagsmuni“ einstaklinga þegar þeir eru ófærir um að veita samþykki sitt.

Af nægu að taka

Það er því ljóst að persónuupplýsingar leynast víðar í kringum okkur en margan grunar. Þær upplýsingar sem koma ef til vill fyrst upp í hugann eru nöfn, myndir, lífsýni, heilsufarsupplýsingar, bankaupplýsingar og svo framvegis. Fleiri dæmi eru svo t.d. upplýsingar um þekkingu og skoðanir einstaklings, þ.e. hvað hann veit og hverju hann trúir. Upplýsingar sem lýsa hegðun og gjörðum, bæði á internetinu og utan þess t.d. netvafrasaga, símtalaskrá, viðhorf og svo framvegis. Líkamleg einkenni eins og hæð, þyngd, hárlitur, húðlitur, húðflúr og annað geta einnig flokkast til persónuupplýsinga.

Loks geta upplýsingar sem hægt er að nota til þess að hafa uppi á einstaklingi, á borð við netföng, heimilisföng, GPS hnit, herbergisnúmer og fleira einnig flokkast sem slíkar. Þessi upptalning er, eins og gefur að skilja, á engan hátt tæmandi listi, og er aðeins ætlað að gefa lesendum smá tilfinningu fyrir því hversu gríðarlegt magn persónuupplýsinga er allt í kringum okkur.